应急响应
文章平均质量分 91
七天啊
纸上得来终觉浅,绝知此事要躬行。
展开
-
网络安全应急响应----1、应急响应简介
目录1、应急响应流程2、PDCERT应急响应方法模型3、应急响应常见事件4、应急响应分析流程网络安全应急响应:针对已经发生的或可能发生的安全事件进行监控、分析、协调、处理、保护资产安全。1、应急响应流程2、PDCERT应急响应方法模型PDCERT方法模型将应急响应分为六个阶段:准备阶段、检测阶段、抑制阶段、根除阶段、恢复阶段、总结阶段。PDCERT方法模型是目前应急响应适应性较强的通用方法。2.1、准备阶段以预防为主。建立企业安全政策及标准;建立.原创 2022-03-15 21:50:44 · 8026 阅读 · 0 评论 -
网络安全应急响应----2、Windows入侵排查
文章目录一、系统排查1、系统信息2、用户信息3、启动项4、计划任务5、服务自启动二、进程、端口排查1、进程排查2、端口排查三、文件痕迹排查1、敏感目录文件2、基于时间点查找四、日志分析1、系统日志2、安全性日志3、应用程序日志五、内存分析六、流量分析一、系统排查1、系统信息//可以显示本地计算机的硬件资源、组件、软件环境、正在运行的任务、服务、系统驱动程序、加载模块、启动程序等。C:\Users\test>msinfo32 //Microsoft系统信息工具:Msinfo32.原创 2022-03-17 08:23:44 · 5541 阅读 · 4 评论 -
网络安全应急响应----3、Linux入侵排查
文章目录一、系统排查1、系统信息2、用户信息3、启动项4、任务计划5、历史命令二、进程、端口排查三、服务排查四、文件痕迹排查五、日志分析六、内存分析七、流量分析一、系统排查1、系统信息查看CPU相关信息 # lscpu 操作系统信息 # uname -a # cat /proc/version查看已载入系统的模块信息 # lsmod2、用户信息//查看系统所有用户信息1、# cat /etc/passwd用户名:密码:用户ID:组ID:用户说明:家目录:登原创 2022-03-17 13:43:03 · 1956 阅读 · 0 评论 -
网络安全应急响应----4、DDoS攻击应急响应
文章目录一、DDoS攻击简介二、DDoS攻击方法1、消耗网络带宽资源1.1、ICMP Flood (ICMP洪水攻击)1.2、UDP Flood (UDP洪水攻击)2、消耗系统资源2.1、TCP Flood2.2、 SYN Flood3、消耗应用资源3.1、HTTP Flood (CC攻击)3.2、慢速攻击4、消耗网络带宽资源的其他DDoS4.1、NTP Reflection Flood4.2、DNS Reflection Flood4.3、SSDP Reflection Flood4.4、SNMP Ref原创 2022-03-20 08:16:17 · 8121 阅读 · 0 评论 -
网络安全应急响应----5、勒索病毒应急响应
文章目录一、勒索病毒简介二、常见勒索病毒三、勒索病毒常见利用漏洞四、勒索病毒的解密4.1、常见的可解密勒索家族类型4.2、处理勒索病毒常用工具五、勒索病毒的攻击5.1、勒索病毒的攻击方法5.2、勒索病毒的攻击特点六、勒索病毒的应急响应方法6.1、隔离被感染的服务器/主机6.2、排查业务系统6.3、确定勒索病毒种类, 进行溯源分析6.4、处置勒索病毒6.4.1、文件检查6.4.2、补丁检查6.4.3、账号排查6.4.4、网络连接、进程、任务计划排查6.4.5、网络流量排查6.5、恢复数据和业务、清除加固七、勒原创 2022-03-20 17:04:58 · 8289 阅读 · 2 评论 -
网络安全应急响应----6、挖矿攻击应急响应
文章目录一、挖矿木马简介1、挖矿流程2、挖矿木马的传播方式二、常见的挖矿木马三、挖矿木马应急响应方法3.1、隔离被感染的服务器/主机3.2、确认挖矿进程3.3、系统排查3.3.1、判断挖矿木马挖矿时间3.3.2、了解网络部署环境3.3.3、系统排查3.4、挖矿木马清除四、挖矿木马防御一、挖矿木马简介挖矿:每隔一个时间点,比特币系统会在系统节点上生成一个随机代码,互联网中的所有计算机都可以去寻找此代码,谁找到此代码,就会产生一个区块。而比特币的发行是基于奖励的,每促成一个区块的生成,该节点便获得相应原创 2022-03-21 14:22:31 · 17564 阅读 · 0 评论 -
网络安全应急响应----7、数据泄漏应急响应
文章目录一、数据泄露简介二、数据泄露途径1、外部泄露2、内部泄露三、数据泄露应急响应方法1、发现数据泄露2、梳理基本情况3、确定排查范围和目标4、判断泄露途径4.1、主动泄露4.2、被动泄露5、系统排查四、数据泄露防御1、数据外部泄露防范2、数据内部泄露防范一、数据泄露简介数据泄露指对存储、传输或以其他形式处理的个人或机构数据造成意外或非法破坏、遗失、变更、未授权披露和访问的一类安全事件。确认是否为数据泄露安全事件主要依据以下三条基本原则:1、违反机密性:未授权或意外披露机密数据。2、违反原创 2022-03-22 07:38:00 · 11717 阅读 · 0 评论 -
网络安全应急响应----8、网页篡改应急响应
文章目录一、网页篡改简介二、网页篡改检测技术1、外挂轮询技术2、核心内嵌技术3、事件触发技术三、网页篡改应急响应方法1、发生网页篡改2、隔离被感染的服务器/主机2.1、针对被篡改的网页2.2、针对未被篡改的网页3、排查业务系统3.1、异常端口、进程排查3.2、可疑文件排查3.3、可疑账号排查3.4、确认篡改时间3.5、日志排查3.6、网络流量排查4、恢复数据和业务四、网页篡改防御方法一、网页篡改简介网页篡改:即攻击者故意篡改网络上传送的报文,通常以入侵系统并篡改数据、劫持网络连接或插入数据等形式进行原创 2022-03-22 12:58:46 · 8638 阅读 · 0 评论 -
网络安全应急响应----9、WebShell应急响应
文章目录一、Webshell简介1、常见webshell2、Webshell检测二、Webshell应急响应流程1、判断是否被植入webshell2、临时处置3、Webshell排查4、系统排查4.1、Windows系统排查4.2、Linux系统排查4.3、Web日志分析4.4、网络流量排查4.5、清除加固三、Webshell防御方法一、Webshell简介Webshell通常指以JSP、ASP、 PHP等网页脚本文件形式存在的一种服务器可执行文件,一般带有文件操作、命令执行功能,是一种网页后门。攻原创 2022-03-23 06:11:47 · 7929 阅读 · 0 评论 -
网络安全应急响应----10、内存分析
文章目录一、基于软件的内存获取技术和工具1.1、利用对象或设备直接读取物理内存的软件1.2、利用驱动或内核扩展读取物理内存的软件二、基于硬件的内存获取技术和工具2.1、使用网卡获取物理内存2.3、基于PCI Express接口获取物理内存2.4、基于Thunderbolt接口获取物理内存三、内存获取的其他方式3.1、虚拟化环境下获取内存3.2、内存转储(Memory Dump)方式3.3、休眠文件保存的内存信息3.4、页面交换文件中的内存信息目前的内存镜像获取方法主要分为基于硬件设备的和基于软件的。两原创 2022-03-24 21:35:19 · 7678 阅读 · 1 评论 -
网络安全应急响应----11、日志分析
文章目录一、Windows日志二、Linux日志三、Web日志3.1、IIS中间件日志3.2、Apache中间件日志3.3、Tomcat中间件日志3.4、Weblogic3.5、Nginx中间件日志一、Windows日志Windows日志记录着Windows系统中硬件、软件和系统问题的信息,同时还可以监视系统中发生的事件,掌握计算机在特定时间的状态,以及了解用户的各种操作行为,并且包括有关系统、安全、应用程序的记录。Windows系统之后,日志文件通常分为系统日志(SysEvent) 、应用程序日原创 2022-03-24 17:28:03 · 14734 阅读 · 0 评论